Microsoft'un bugün açıkladığı gibi, Linux cihazlarına hacklemek ve bir DDOS botnet oluşturmak için kullanılan gizli ve modüler bir kötü amaçlı yazılım, son altı ay boyunca faaliyette% 254 büyük bir artış gördü.
Bu kötü amaçlı yazılım (en az 2014'ten beri aktif), komut ve kontrol (C2) sunucularıyla iletişim kurarken ve dağıtılmış Reddetme Servis'i başlatmak için kullanılması nedeniyle XOR tabanlı şifreleme kullanımı nedeniyle Xorddos (veya XOR DDOS) olarak bilinir. (DDOS) Saldırılar.
Şirketin açıkladığı gibi, Botnet'in başarısı, muhtemelen gizli ve çıkarılması zor kalmasına izin veren çeşitli kaçırma ve kalıcılık taktiklerini yaygın olarak kullanmasından kaynaklanmaktadır.
Microsoft 365 Defender Araştırma Ekibi, "Kırılma yetenekleri, kötü amaçlı yazılım faaliyetlerini gizlemek, kural tabanlı algılama mekanizmalarından ve karma tabanlı kötü amaçlı dosya aramalarının önlenmesi ve işlem ağaç tabanlı analizi kırmak için anti-forensik teknikleri kullanmayı içeriyor." Dedi.
Diyerek şöyle devam etti: "Son kampanyalarda, Xorddos'un hassas dosyaların null baytıyla üzerine yazarak analizden kötü niyetli etkinlikleri gizlediğini gözlemledik."
Xorddos, ARM'den (IoT) x64'e (sunucular) çok sayıda Linux sistem mimarisini hedeflemek ve SSH Brute-Force saldırılarında savunmasız olanlardan ödün vermekle bilinir.
Daha fazla cihaza yayılmak için, nihayet bir eşleşme bulana kadar binlerce internete maruz kalan sisteme karşı çeşitli şifreler kullanarak kök olarak oturum açmaya çalışacak bir kabuk komut dosyası kullanır.
DDOS saldırılarını başlatmanın yanı sıra, kötü amaçlı yazılımlar operatörleri, rootkitleri yüklemek, hacklenen cihazlara erişimi korumak ve muhtemelen ek kötü amaçlı yükler bırakmak için Xorddos Botnet'i kullanır.
Microsoft, "İlk olarak Xorddos ile enfekte olmuş cihazların daha sonra XMRIG madeni para madencisini daha da konuşlandıran Tsunami Backdoor gibi ek kötü amaçlı yazılımlarla enfekte olduğunu bulduk."
Diyerek şöyle devam etti: "Xorddos'un Tsunami gibi ikincil yükleri doğrudan yüklemesini ve dağıttığını gözlemlememize rağmen, Truva atının takip faaliyetleri için bir vektör olarak kullanılması mümkündür."
Microsoft'un Aralık ayından bu yana tespit edilen Xorddos etkinliğindeki büyük artış, siber güvenlik firması Crowdstrike tarafından bir raporla, Linux kötü amaçlı yazılımın 2021'de bir önceki yıla göre% 35 büyüme gördüğünü söyledi.
Xorddos, Mirai ve Mozi, 2021'de gözlemlenen Linux cihazlarını hedefleyen tüm kötü amaçlı yazılım saldırılarının% 22'sini oluşturan en yaygın ailelerdi.
Üçünden Crowdstrike, Xorddos'un yıllık%123'lük kayda değer bir artış gördüğünü, Mozi'nin ise geçen yıl boyunca vahşi doğada on kat daha fazla örnek algıladığını söyledi.
Intezer'den Şubat 2021 tarihli bir rapor, Linux kötü amaçlı yazılım ailelerinin 2020'de 2019'a kıyasla yaklaşık% 40 arttığını ortaya koydu.
Microsoft: SYSRV Botnet, Windows, Linux sunucularını yeni istismarlarla hedefler
Yeni kriptomingining kötü amaçlı yazılım bir Windows ordusu oluşturur, Linux Bots
Yeni EnemyBot DDOS Botnet, ordusuna yönlendiricileri ve iots'u işe alır
BeastMode Botnet yeni yönlendirici istismarları ile DDOS gücünü artırıyor
Botnet'i büyütmek için kötü amaçlı yazılım tarafından kullanılan public redis istismar
Kaynak: Bleeping Computer